Autorzy z góry uprzedzili, że nie będzie to zbyt prosty materiał, ja jednak postanowiłem, że zabiorę się za niego z założeniem, że jednak taki trudny nie jest. Na początek ambitnie wziąłem się za podręcznik, od razu zacząłem od wstępu, gdzie rzuciły mi się w oczy cyferki w kwadratowych nawiasach. Chwilę później zorientowałem się, że to są odnośniki do pozycji literatury znajdującej się w bibliografii, głównie są to linki do stron internetowych, choć jest tam również kilka pozycji książkowych. Osobiście uważam to za plus, bo jeśli ktoś będzie chciał poszerzyć wiedzę, lub zagłębić się w temat, to będzie wiedział gdzie szukać, pewną niedogodnością może być jednak fakt, że wszystkie pozycje są w języku angielskim.
Po przebrnięciu przez wstęp i informacje wstępne, dotarłem do rozdziału 2 w którym autor postanowił omówić najpopularniejsze ataki na aplikacje. Na dzień dobry rzucił mi się w oczy język, którym napisana jest książka. Do tej pory byłem bowiem przyzwyczajony, że pozycje CSH są skierowane do osób, które posiadają tak naprawdę niewielką wiedzę informatyczną i każdy element jest dokładnie wytłumaczony. Tym razem jednak autorzy używają języka bardziej zwięzłego nie rozpisują się zbytnio oraz wykorzystują fachową terminologię. Ale i z tym każdy powinien sobie spokojnie poradzić, podstawowe pojęcia zostały bowiem opisane w pierwszym rozdziale i w razie potrzeby zawsze można zerknąć i upewnić się czy dobrze rozumiemy to o czym pisze autor.
Zaraz na początku 2 rozdziału autor umieścił informację, dołączonym do rozdziału konkretnym filmie umieszczonym na płycie ja jednak postanowiłem, że spróbuję przebrnąć przez rozdział wyłącznie przy pomocy książki. Czytając stronę po stronie, przebrnąłem przez kilka kodów źródłowych w języku C i assemblerze, natknąłem się na wiele nazw funkcji, cyfr zapisanych szesnastkowo, wyników z debugerów i jeszcze więcej fachowej terminologii. Faktycznie ktoś kto nie żadnej wiedzy na temat ataków komputerowych oraz programowania może się w tym miejscu przerazić. Jednak dla uczestników wcześniejszych szkoleń nie powinno to być nic strasznego. Takie określenia jak przepełnienie bufora czy sterty pojawiały się bowiem we wcześniejszych szkoleniach dotyczących Linuksa. Autorzy nie omawiają jednak w podręczniku za pomocą jakich narzędzi i w jaki sposób otrzymane zostały wyniki działania omawianych programów, dlatego w końcu postanowiłem sięgnąć po płyty z materiałem video.
Zacząłem od początku, od materiału dotyczącego przygotowania środowiska. Lektor na filmie od razu zaczął prezentować zainstalowane programy, pomyślałem więc, że warto by je było od razu mieć. Na płycie z materiałem szkoleniowym co prawda nie znalazłem samych programów, ale były za to bezpośrednie linki do downloadu. Dzięki temu szybko ściągnąłem wymagane oprogramowanie, z instalacją również nie miałem problemu. Mając zainstalowane oprogramowanie wróciłem do filmu, gdzie omawiano poszczególne programy i ich wstępną konfigurację. Ku mojemu zaskoczeniu, okazało się, że to tak naprawdę świetną zabawą. Lektor pokazuje jak uruchomić poszczególne programy przy okazji wykorzystując je do ich wzajemnej modyfikacji, na dodatek wszystko przedstawione jest w sposób prosty i nie wymaga specjalnego wysiłku wysiłku, od razu chciałem zobaczyć co będzie dalej. Spodobała mi się też sama technika zdjęć, zbliżenia na omawiane właśnie elementy powodują, że wszystko jest doskonale widoczne i czytelne.
Po zapoznaniu się z oprogramowaniem i krótkim a za razem dosyć prostym kursie assemblera dotarłem do filmu omawiającego jeden z ataków na aplikację. Podstawy assemblera, języka C i znajomość terminologii programistycznej jak najbardziej będą tutaj przydatne. Osoby nie mające do tej pory do czynienia z programowaniem będą się niestety musiały trochę pomęczyć i nadrobić podstawy, nie mniej jednak na początek powinno im wystarczyć opanowanie zagadnień omówionych an pierwszych trzech filmach. Z kolei dla programistów zrozumienie tematu nie powinno stanowić większego problemu, kody źródłowe programów dostarczone są na płycie z filmami, a wszystkie czynności wykonuje się na dostępnym z sieci oprogramowaniu z wykorzystaniem kodów programów dostępnych na płycie. Tym razem nie ma potrzeby wypisywania skomplikowanych poleceń, do czego przyzwyczaiły mnie wcześniejsze kursy, wystarczy jedynie uruchomić dany program i wiedzieć jak się w nim poruszać, co zresztą jest dokładnie tłumaczone przez lektora. Dzięki temu szkolenie można spokojnie przerabiać na podstawie filmów, bez potrzeby sięgania do podręcznika.
Drugą część szkolenia, dotyczącą zabezpieczania systemu Windows, warto zacząć przerabiać dopiero po poznaniu wcześniejszych zagadnień, często bowiem wykorzystywane są elementy omówione dokładniej we wcześniejszych częściach kursu. W tej części szkolenia autorzy przywitali mnie wykładem na temat budowy procesorów, dalej skupiono się na omówieniu sposobów zapobiegania atakom opisanych we wcześniejszej części kursu. Pojawiły się przykłady jak wykorzystać błędy opisane we wcześniejszym rozdziale, jak działają mechanizmy systemu Windows, które mają przed tym bronić, jak je obejść, jak się przed tym zabezpieczyć itd. Generalnie w jednym obszernym rozdziale zebrano naprawdę wiele informacji i przestawiono je według mnie w możliwie najbardziej zrozumiały sposób. Na koniec przeprowadzono również konkretny atak na popularną aplikację, obrazujący jaki efekt może przynieść wykorzystanie omawianej luki. Słowem całkiem świetny zbiór przydatnych informacji, które przede wszystkim mogą się przydać programistom, oraz osobom zajmującym się bezpieczeństwem komputerowym.
PodsumowujÄ…c, materiaÅ‚ przedstawiony w szkoleniu jest naprawdÄ™ wartoÅ›ciowy i na wysokim poziomie, dlatego z przyjemnoÅ›ciÄ… mogÄ™ go polecić. Przez wzglÄ…d na zaawansowanÄ… tematykÄ™, polecam go głównie osobom, które zajmujÄ… siÄ™ tematykÄ… hakingu i programowaniem, wzglÄ™dnie tym, którzy majÄ… ambicjÄ™, żeby tÄ… tematykÄ™ nadrobić i zgÅ‚Ä™bić. W przypadku podrÄ™cznika poczuÅ‚em maÅ‚y niedosyt, gdyż poruszane tam zagadnienia czÄ™sto omawiane sÄ… jedynie pobieżnie, za to materiaÅ‚ wideo jest na naprawdÄ™ wysokim poziomie. WedÅ‚ug mnie pozycja bardzo wartoÅ›ciowa i godna polecenia.”
Wojciech Woszczek, omikron
Szkolenie możesz zamówić na tej stronie.